漏洞检测方法及装置制造方法及图纸

本申请公开了一种漏洞检测方法及装置。其中，该方法包括：获取网站的访问信息和敏感信息，其中，访问信息中记录有用于访问网站的访问地址；基于访问地址和敏感信息，确定访问地址中被允许返回敏感信息的疑似漏洞地址；对疑似漏洞地址进行漏洞扫描，识别疑似漏洞地址是否存在信息泄露漏洞。本申请解决了现有技术中存在的漏洞检测效率较低的技术问题。

Method and device for detecting vulnerabilities

The invention discloses a method and a device for detecting vulnerabilities. Among them, the method includes: obtaining access to the site and sensitive information, the access information records are used to access the website address; address and access to sensitive information based on the determined access address is allowed to return to the address sensitive information suspected vulnerability; vulnerability scanning for suspected vulnerabilities address identifying suspected vulnerabilities address is there are loopholes in information disclosure. The utility model solves the technical problem that the efficiency of leak detection is low in the prior art.

【技术实现步骤摘要】
漏洞检测方法及装置
本申请涉及计算机领域，具体而言，涉及一种漏洞检测方法及装置。
技术介绍
随着电子商务的蓬勃发展，隐私信息泄露问题日益引发用户的关切，因隐私信息泄露而导致的网络诈骗行为层出不穷。就电商平台而言，用户的隐私信息一般为用户的购物订单信息、历史购物行为等业务数据信息。一般，电商平台记录的访问行为可以分为授权访问和未授权访问，其中，授权访问是指用户登录电商平台之后，合法地访问自己的业务数据信息，且用户所使用的浏览器cookie(网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据)中会标示当前用户的身份；未授权访问是指任何人在未登录电商平台的情况下，可以访问到一般为授权访问才能访问到业务数据信息，此时，访问者所使用的浏览器cookie中不包含任何用户身份认证信息。因此，未授权访问是导致用户隐私信息泄露的一条主要途径，而导致未授权访问时有发生的原因，则是由于电商平台用于展现用户敏感信息的web页面没有做合适、必要的用户身份认证。针对上述问题，现有技术一般采用web漏洞扫描器或者WVS(WebVulnerabilityScanner，自动化web应用程序安全本文档来自技高网...

【技术保护点】
一种漏洞检测方法，其特征在于，包括：获取网站的访问信息和敏感信息，其中，所述访问信息中记录有用于访问所述网站的访问地址；基于所述访问地址和所述敏感信息，确定所述访问地址中被允许返回所述敏感信息的疑似漏洞地址；对所述疑似漏洞地址进行漏洞扫描，识别所述疑似漏洞地址是否存在信息泄露漏洞。

【技术特征摘要】
1.一种漏洞检测方法，其特征在于，包括：获取网站的访问信息和敏感信息，其中，所述访问信息中记录有用于访问所述网站的访问地址；基于所述访问地址和所述敏感信息，确定所述访问地址中被允许返回所述敏感信息的疑似漏洞地址；对所述疑似漏洞地址进行漏洞扫描，识别所述疑似漏洞地址是否存在信息泄露漏洞。2.根据权利要求1所述的方法，其特征在于，所述基于所述访问地址和所述敏感信息，确定所述访问地址中被允许返回敏感信息的疑似漏洞地址包括：对所述访问地址和所述敏感信息进行关联操作，得到关联结果，其中，所述关联结果用于记录所述访问地址是否关联到所述敏感信息；基于所述关联结果确定所述访问地址中的所述疑似漏洞地址。3.根据权利要求2所述的方法，其特征在于，所述对所述访问地址和所述敏感信息进行关联操作包括：获取所述访问信息中的响应信息，其中，所述响应信息为响应访问请求的信息，所述访问请求为用于访问所述网站的请求，所述响应信息中记录的字符串与所述访问请求中的访问地址相对应；查找具有所述字符串的敏感信息，得到查找结果；基于所述查找结果，确定与所述字符串相对应的访问地址是否关联到所述敏感信息。4.根据权利要求3所述的方法，其特征在于，所述基于所述查找结果，确定是否与所述字符串相对应的访问地址是否关联到所述敏感信息包括：在所述查找结果指示查找到存在所述字符串的敏感信息的情况下，确定与所述字符串相对应的访问地址关联到所述敏感信息；在所述查找结果指示未查找到存在所述字符串的敏感信息的情况下，确定与所述字符串相对应的访问地址未关联到所述敏感信息。5.根据权利要求2所述的方法，其特征在于，所述基于所述关联结果确定所述访问地址中的疑似漏洞地址包括：在所述关联结果指示所述访问地址关联到所述敏感信息，则确定所述访问地址为所述疑似漏洞地址；在所述关联结果指示所述访问地址未关联到所述敏感信息，则确定所述访问地址不为所述疑似漏洞地址。6.根据权利要求1所述的方法，其特征在于，所述对所述疑似漏洞地址进行漏洞扫描，识别所述疑似漏洞地址是否存在信息泄露漏洞包括：对所述疑似漏洞地址进行未登录重放扫描，获取扫描结果信息；若所述扫描结果信息中携带有所述敏感信息，则确定所述疑似漏洞地址存在所述信息泄露漏洞；若所述扫描结果信息中未携带所述敏感信息，则确定所述疑似漏洞地址不存在所述信息泄露漏洞。...

【专利技术属性】
技术研发人员：吴小伟，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY